リファラーポリシー (Referrer Policy)
リファラーポリシー (Referrer Policy) とは何ですか?
リファラーポリシー (Referrer Policy)外向きリクエストの Referer ヘッダーに送信元 URL のどれだけの情報を含めるかを制御する HTTP 応答ヘッダー(または meta タグ)。
Referrer-Policy ヘッダーは、リンククリック、サブリソース読み込み、画面遷移のときに Referer から漏れる情報をサイト側で制限できます。制限がない場合、トークンや ID、個人情報を含むクエリ文字列までを含めた完全 URL が、サードパーティのサーバー、解析、広告ネットワークへ流出する恐れがあります。値は no-referrer から strict-origin-when-cross-origin、unsafe-url まで複数あります。Chromium と Firefox の現在の既定値は strict-origin-when-cross-origin です。明示的に厳しい値を設定することは低コストで効果の高いプライバシー・情報漏洩対策となります。
● 例
- 01
Referrer-Policy: strict-origin-when-cross-origin
- 02
Referer 経由で広告スクリプトに漏れていたセッショントークンの流出を防ぐ。
● よくある質問
リファラーポリシー (Referrer Policy) とは何ですか?
外向きリクエストの Referer ヘッダーに送信元 URL のどれだけの情報を含めるかを制御する HTTP 応答ヘッダー(または meta タグ)。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
リファラーポリシー (Referrer Policy) とはどういう意味ですか?
外向きリクエストの Referer ヘッダーに送信元 URL のどれだけの情報を含めるかを制御する HTTP 応答ヘッダー(または meta タグ)。
リファラーポリシー (Referrer Policy) はどのように機能しますか?
Referrer-Policy ヘッダーは、リンククリック、サブリソース読み込み、画面遷移のときに Referer から漏れる情報をサイト側で制限できます。制限がない場合、トークンや ID、個人情報を含むクエリ文字列までを含めた完全 URL が、サードパーティのサーバー、解析、広告ネットワークへ流出する恐れがあります。値は no-referrer から strict-origin-when-cross-origin、unsafe-url まで複数あります。Chromium と Firefox の現在の既定値は strict-origin-when-cross-origin です。明示的に厳しい値を設定することは低コストで効果の高いプライバシー・情報漏洩対策となります。
リファラーポリシー (Referrer Policy) からどのように防御しますか?
リファラーポリシー (Referrer Policy) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- appsec№ 496
HTTP セキュリティヘッダ
HTTPS 強制・フレーム制限・コンテンツポリシー・リファラ制御などの防御動作をブラウザに指示するレスポンスヘッダ群。
- appsec№ 214
コンテンツセキュリティポリシー (CSP)
スクリプト・スタイル・フレームなどの読み込み元をブラウザに指示する HTTP レスポンスヘッダで、XSS やデータ注入攻撃の影響を抑える。
- appsec№ 960
同一オリジンポリシー (SOP)
あるオリジンから読み込まれた文書やスクリプトが、別のオリジンのリソースとどのように相互作用できるかを制限するブラウザのセキュリティ規則。
- appsec№ 223
CORS(オリジン間リソース共有)
ブラウザが強制する仕組みで、サーバーが同一オリジンポリシーを選択的に緩め、あるオリジンの JavaScript から別オリジンのレスポンスを読み取れるようにする。
- appsec№ 983
Secure Cookie フラグ
Cookie を HTTPS でのみ送信させる属性で、ネットワーク上の平文露出を防ぐ。
- appsec№ 961
SameSite Cookie
クロスサイトリクエストで Cookie を送信するかをブラウザに指示する属性で、値は Strict・Lax・None。主に CSRF 対策に用いる。